隨著信息技術(shù)的發(fā)展，網(wǎng)上銀行在銀行業(yè)務(wù)中的地位越來(lái)越重要，大型商業(yè)銀行、全國(guó)性股份制中小型銀行、城市商業(yè)銀行、農(nóng)村信用合作社以及各村鎮(zhèn)銀行都在積極建設(shè)和開(kāi)展自己的網(wǎng)上銀行業(yè)務(wù)，某些大銀行的網(wǎng)銀業(yè)務(wù)結(jié)算量已經(jīng)占據(jù)總業(yè)務(wù)份額的50%以上。網(wǎng)上銀行的用戶數(shù)量正在快速增長(zhǎng)，網(wǎng)上銀行已成為銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略性業(yè)務(wù)和利潤(rùn)增長(zhǎng)點(diǎn)，成為其品牌競(jìng)爭(zhēng)力的必要組成部分。由于信息技術(shù)的復(fù)雜特征，在信息技術(shù)使用過(guò)程中存在著大量難以把控的因素，網(wǎng)上銀行作為一種先進(jìn)的信息技術(shù)利用手段，自然也會(huì)面臨各種各樣的安全威脅。近年來(lái)針對(duì)網(wǎng)上銀行的攻擊手段不斷增多，網(wǎng)上充斥的大量黑客教程也使得攻擊門(mén)檻不斷降低，網(wǎng)銀安全事件頻繁發(fā)生，導(dǎo)致客戶信息泄露，大量資金被盜。如何應(yīng)對(duì)網(wǎng)上銀行系統(tǒng)面臨的安全威脅，保障網(wǎng)銀系統(tǒng)客戶信息和賬戶資金安全，確保網(wǎng)銀系統(tǒng)能夠正常穩(wěn)定的為廣大客戶服務(wù)，啟明星辰認(rèn)為滲透測(cè)試是解決這個(gè)問(wèn)題的必要手段之一。

黑客是怎么作案成功的

從過(guò)去發(fā)生的大量與網(wǎng)銀相關(guān)的安全事件來(lái)看，攻擊者針對(duì)網(wǎng)銀系統(tǒng)開(kāi)展的非法攻擊主要可分為以下幾個(gè)方面。一是竊取網(wǎng)銀用戶的隱私信息，包括銀行卡號(hào)、用戶名、密碼、個(gè)人身份信息等，較常使用的攻擊手段有網(wǎng)絡(luò)釣魚(yú)、跨站攻擊、木馬等；二是獲取網(wǎng)站的操作權(quán)限，然后可進(jìn)行網(wǎng)頁(yè)篡改、木馬上傳、權(quán)限提升等操作；三是獲取服務(wù)器的操作系統(tǒng)權(quán)限，取得本地系統(tǒng)文件讀寫(xiě)能力，并可繼續(xù)向內(nèi)網(wǎng)進(jìn)行探測(cè)，嚴(yán)重時(shí)甚至可能進(jìn)入網(wǎng)銀系統(tǒng)核心區(qū)域，給網(wǎng)銀安全帶來(lái)巨大災(zāi)難。

隨著各種自動(dòng)化工具的普及，開(kāi)展攻擊活動(dòng)所要求的個(gè)人技術(shù)水平已經(jīng)遠(yuǎn)非過(guò)去那么嚴(yán)格，所以網(wǎng)銀系統(tǒng)安全防護(hù)的關(guān)鍵不是對(duì)攻擊手段的防御，而是應(yīng)該及時(shí)識(shí)別和修復(fù)網(wǎng)銀系統(tǒng)的安全漏洞，切實(shí)加強(qiáng)系統(tǒng)自身的安全能力。這些安全漏洞有些是由于軟件的設(shè)計(jì)開(kāi)發(fā)導(dǎo)致，有些是因?yàn)橄到y(tǒng)配置使用有誤造成。但是安全漏洞的一大特點(diǎn)是它的隱蔽性，雖然業(yè)內(nèi)已有比較成熟的信息系統(tǒng)安全建設(shè)指導(dǎo)思路，我們?nèi)匀粺o(wú)法確保能夠發(fā)現(xiàn)網(wǎng)銀系統(tǒng)存在的所有漏洞，更多時(shí)候我們只能在已經(jīng)遭受了攻擊之后才被動(dòng)得知漏洞存在。對(duì)于技術(shù)力量不夠雄厚的中小銀行來(lái)說(shuō)，這一點(diǎn)尤其明顯。

安全要由自己做主

在開(kāi)放遼闊的網(wǎng)絡(luò)世界中，網(wǎng)上銀行就像是位于幽暗森林中央的一座城堡，無(wú)數(shù)火把高插墻頭，豺狼虎豹窺伺四周。為抵御強(qiáng)敵侵?jǐn)_，必須高建城墻，關(guān)嚴(yán)窗格，鎖閉隧道，緊守門(mén)房。

網(wǎng)上銀行必須對(duì)自身情況有足夠的認(rèn)識(shí)，準(zhǔn)確發(fā)現(xiàn)安全防御體系的短板所在，及時(shí)采用相應(yīng)的技術(shù)手段進(jìn)行補(bǔ)足，掌握網(wǎng)上銀行安全工作的絕對(duì)主動(dòng)權(quán)。切不可疏忽大意自以為保障萬(wàn)全，導(dǎo)致受到攻擊甚至造成巨大損失后措手不及，焦頭爛額地四處撲救。

在主動(dòng)安全防御體系的建設(shè)工作中，必須將滲透測(cè)試作為一個(gè)重要的環(huán)節(jié)，在系統(tǒng)建設(shè)期間、系統(tǒng)上線前、系統(tǒng)運(yùn)行時(shí)都可對(duì)其開(kāi)展?jié)B透相關(guān)的工作。滲透測(cè)試是指由專業(yè)的安全專家根據(jù)多年積累的安全漏洞經(jīng)驗(yàn)和安全檢測(cè)工具，完全模擬黑客攻擊的思路，對(duì)網(wǎng)上銀行系統(tǒng)進(jìn)行非破壞性的攻擊。由于滲透測(cè)試是由銀行授權(quán)的主動(dòng)性攻擊行為，可以在確保不造成有害影響的前提下，從攻擊者視角發(fā)現(xiàn)網(wǎng)銀系統(tǒng)存在的安全風(fēng)險(xiǎn)，并及時(shí)進(jìn)行修補(bǔ)。

揭開(kāi)滲透測(cè)試的神秘面紗

所謂知己知彼百戰(zhàn)不殆，滲透測(cè)試其實(shí)就是一個(gè)知己的過(guò)程。在攻擊者之前準(zhǔn)確發(fā)現(xiàn)自身安全缺陷，并提供恰當(dāng)?shù)男扪a(bǔ)建議，這是滲透測(cè)試的基本價(jià)值所在。作為一種專業(yè)的安全服務(wù)手段，滲透測(cè)試活動(dòng)將充分借鑒傳統(tǒng)黑盒測(cè)試和白盒測(cè)試的方法，評(píng)估網(wǎng)上銀行系統(tǒng)的應(yīng)用服務(wù)、通信協(xié)議等的潛在安全風(fēng)險(xiǎn)，直觀反映網(wǎng)上銀行系統(tǒng)所面臨的安全現(xiàn)狀。

滲透測(cè)試與常規(guī)的安全服務(wù)有所不同，滲透測(cè)試工作的成果難以準(zhǔn)確度量，項(xiàng)目質(zhì)量往往取決于測(cè)試人員的攻防技能水平，自動(dòng)化工具僅僅作為過(guò)程中的一種輔助手段。滲透測(cè)試常用手段主要有信息搜集、端口掃描、口令猜測(cè)、遠(yuǎn)程溢出、本地溢出、腳本測(cè)試和權(quán)限提升等，在每個(gè)階段都有相應(yīng)的專業(yè)手法和利用工具，以保證測(cè)試結(jié)果的全面和準(zhǔn)確。

同時(shí)，為了更深入的發(fā)掘滲透測(cè)試工作的作用，啟明星辰結(jié)合多年來(lái)的滲透測(cè)試實(shí)施經(jīng)驗(yàn)，目前已開(kāi)發(fā)出了一套成體系的基于業(yè)務(wù)邏輯的滲透測(cè)試方法。測(cè)試人員詳細(xì)梳理業(yè)務(wù)流程，將信息技術(shù)分解為承載和傳輸業(yè)務(wù)數(shù)據(jù)的一個(gè)個(gè)節(jié)點(diǎn)，采用串聯(lián)和繞過(guò)節(jié)點(diǎn)等思路分析信息系統(tǒng)存在的弱點(diǎn)，并準(zhǔn)確評(píng)價(jià)弱點(diǎn)的嚴(yán)重程度，從而改進(jìn)傳統(tǒng)滲透測(cè)試方法僅關(guān)注技術(shù)自身的疏漏。通過(guò)從業(yè)務(wù)視角推進(jìn)滲透測(cè)試活動(dòng)，更深入全面地發(fā)揮滲透測(cè)試工作的價(jià)值。

滲透測(cè)試服務(wù)必須專業(yè)

由于滲透測(cè)試本質(zhì)上是一種攻擊性活動(dòng)，為了防止?jié)B透測(cè)試對(duì)網(wǎng)銀系統(tǒng)造成未預(yù)見(jiàn)的不良損害，必須制定嚴(yán)格的測(cè)試流程，采用可控制的、非破壞性的滲透方法，與客戶進(jìn)行充分的溝通和準(zhǔn)備，并在執(zhí)行過(guò)程中把握每一個(gè)步驟的信息輸入輸出，保證網(wǎng)銀系統(tǒng)的可用性和穩(wěn)定性。啟明星辰以人工滲透為主的滲透測(cè)試方法，可以保證整個(gè)滲透測(cè)試過(guò)程都在完全可控和隨時(shí)調(diào)整的范圍之內(nèi)。下圖所示是一個(gè)簡(jiǎn)化的滲透測(cè)試實(shí)施流程。

啟明星辰作為國(guó)內(nèi)信息安全領(lǐng)域的領(lǐng)航企業(yè)，擁有成熟專業(yè)的攻防實(shí)驗(yàn)室和自主研發(fā)的漏洞掃描系統(tǒng)，可以為滲透測(cè)試提供強(qiáng)大的團(tuán)隊(duì)和技術(shù)支持。啟明星辰具有豐富的安全服務(wù)實(shí)施經(jīng)驗(yàn)，結(jié)合業(yè)界著名的OSSTMM與OWASP測(cè)試框架組合成的最佳操作實(shí)踐，已經(jīng)為金融、電信、政府等多個(gè)行業(yè)的多家單位成功提供了滲透測(cè)試服務(wù)，并且從實(shí)踐中總結(jié)和提高，形成了一套專門(mén)針對(duì)網(wǎng)上銀行系統(tǒng)的安全測(cè)試方法，將繼續(xù)為網(wǎng)上銀行安全保障工作提供專業(yè)服務(wù)和支持。